No final da semana passada foi revelada uma falha crítica no Log4j da Apache Foundation, uma ferramenta de registo open-source usada por múltiplas empresas tecnológicas com serviços online. A vulnerabilidade, conhecida como Log4Shell afeta uma grande variedade de serviços e aplicações e, embora estejam a ser tomadas medidas de mitigação, a falha está a ser ativamente explorada por cibercriminosos.

De acordo com especialistas de cibersegurança, ao ser explorada, a vulnerabilidade Log4Shell permite que os atacantes executem código malicioso remotamente em servidores, abrindo a porta ao roubo de dados, incluindo, credenciais de acesso, assim como a outros tipos de ciberataques.

Segundo a Apache Foundation, que já lançou patches relativos à Log4Shell, a vulnerabilidade terá sido inicialmente reportada a 24 de novembro por Chen Zhaojun, membro da equipa de segurança na Cloud da gigante tecnológica chinesa Alibaba. No espaço de duas semanas, a empresa responsável pela ferramenta open-source desenvolveu e lançou uma atualização para mitigar o impacto da falha, porém, tal não impediu que começasse a ser explorada.

Um dos primeiros sinais da exploração ativa da Log4Shell surgiu no popular videojogo Minecraft, na versão Java Edition, sendo depois lançada uma atualização para resolver o problema.

Dada a popularidade da ferramenta Log4j, são vários os investigadores de cibersegurança que afirmam que a vulnerabilidade poderá ser explorada em servidores geridos por gigantes tecnológicas como a Apple, Amazon, Twitter ou Cloudflare.

Desde o início desta semana que várias empresas tecnológicas, incluindo a Microsoft, IBM, Oracle e AWS, que pertence à Amazon, estão a alertar os seus clientes para a vulnerabilidade, lançando atualizações e indicando que medidas devem ser tomadas para evitar futuros desastres.

No entanto, o processo de desenvolver patches para resolver a vulnerabilidade afirma-se como uma autêntica corrida contra o tempo, uma vez que a mesma está a ser explorada. “Esta é, sem dúvida, uma das mais severas vulnerabilidades na Internet dos últimos anos e têm conseguido disseminar-se como um incêndio descontrolado”, afirma Lotem Finkelstein, Director, Threat Intelligence and Research da Check Point Software em comunicado.

Uma corrida contra o tempo para evitar o pior

De acordo com a Check Point Research, que, à semelhança de outros especialistas da área, está a acompanhar a evolução e impacto da Log4Shell, foram detetadas cerca de 846.000 tentativas de exploração da vulnerabilidade, isto só nas primeiras 72 horas depois da mesma ter sido tornada pública. Entretanto, segundo novos dados, o número de tentativas já ultrapassou os 1,2 milhões.

Dados da empresa de cibersegurança indicam que mais de 46% das tentativas de ataque foram levadas a cabo por grupos. maliciosos conhecidos. De acordo com os investigadores, foram identificadas mais de 60 novas variantes da vulnerabilidade original em menos de 24 horas.

Na Europa, a 13 de dezembro, mais de 40% das redes corporativas já tinham sido impactadas pela Log4Shell. Em Portugal, 43% das redes corporativas foram vítimas de uma tentativa de exploração maliciosa desta falha crítica.

Clique nas imagens para mais detalhes

A Sophos também tem vindo a detetar, desde 9 de dezembro, “centenas de milhares de tentativas de executar código remotamente utilizando a vulnerabilidade Log4Shell”, como explica Sean Gallagher, Senior Threat Researcher da empresa de cibersegurança, em comunicado.

Em destaque estão várias tentativas de ataque que envolvem botnets de mineração de criptomoedas, incluindo a botnet Kinsing.  Segundo Sean Gallagher, há indícios de que os cibercriminosos estão a “tentar explorar a vulnerabilidade para expor as chaves usadas pelas contas Amazon Web Service (AWS)”, assim como sinais de instalação de “ferramentas de acesso remoto nas redes das vítimas, possivelmente Cobalt Strike, uma ferramenta chave em muitos ataques de ransomware”.

Uma vez que a Log4j é amplamente usada por múltiplas empresas, a vulnerabilidade pode “estar presente nos cantos mais sombrios da infraestrutura de uma organização”, afirma o responsável. “Encontrar todos os sistemas vulneráveis por causa do Log4Shell deve ser uma prioridade para as equipas de segurança de TI”, enfatiza. Os investigadores acreditam que a velocidade a que os cibercriminosos estão a controlar e utilizar a vulnerabilidade vai intensificar-se e diversificar-nos nos próximos dias e semana.

Já Lotem Finkelstein da Check Point Software detalha que “o número de possibilidades de exploração [da Log4Shell] dá aos atacantes inúmeras alternativas para contornar proteções recentemente introduzidas”. Assim, “apenas uma postura de segurança abrangente e multicamadas pode proporcionar resiliência”.

O responsável prevê que, “a menos que as empresas e serviços façam algo de imediato para prevenir ataques nos seus produtos”, a vulnerabilidade “ficará connosco por muitos anos”.

Comparando a situação a uma “ciberpandemia altamente contagiosa” e que se dissemina rapidamente e com múltiplas variantes”, o especialista enfatiza que é necessário agir depressa, pois “a ameaça é iminente”.